Infikovaný server útočí na iné servery

13. 5. 2014 20:06:21

Dostal som email s nasledovným znením a neviem, čo s tým. Zdá sa, že nejaký skript na mojom serveri (resp. serveri môjho klienta) útočí na iné servery (skúša sa nabúrať do WP administrácie). Viete mi prosím poradiť, ako by som vedel takýto skript na serveri nájsť? Pozrel som všetky logy, no veľa som z nich nezistil, v apache logu ani v syslog-u nebola o takomto niečom žiadna zmienka. Ako by som mohol tento infikovaný skript dostať zo servera? Zrejme sa tam dostal cez web bežiaci na Jommla 1.5 (neinfikovanú zálohu žiaľ nemám).

Dear Sir/Madam,

We have detected abuse from the IP address 31.31.73.223, which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate.

Log lines are given below, but please ask if you require any further information.

Server IP address is: 86.109.162.236

(If you are not the correct person to contact about this please accept our apologies - your e-mail address was extracted from the whois record by an automated process. This mail was generated automatically.)

Note: Local timezone is +0200 (CEST)

31.31.73.223 - - "POST /wp-login.php HTTP/1.0" 200 3122 "-" "-"

13. 5. 2014 20:06:21

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022976

Tomáš

(27 hodnocení)

13. 5. 2014 21:38:25

Mohl bys vyčíst u sebe v logu co požaduje spuštění ... pokud logy nemáš, tak si seřaď soubory na FTP dle data vytvoření a zcela jistě bude nějakej vybočovat z řady, pokud používáš verzi 1.5 tak určitě nepůjde o čerstvou instalaci která je aktuálně ve verzi 3.3 :)

A pak samozřejmě klasické otloukání základů - zálohuj a aktualizuj.

13. 5. 2014 21:38:25

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022975

David

(15 hodnocení)

14. 5. 2014 12:50:39

nainstaluj tohle

aptitude install clamav

a pak spust skenovani

clamscan -i -r --detect-broken=yes /var/www

podle vysledku odstran ten bordel ktery to najde

14. 5. 2014 12:50:39

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022974

Tomáš

(27 hodnocení)

14. 5. 2014 12:54:28

Napsal cold;1087771
nainstaluj tohle
aptitude install clamav
a pak spust skenovani
clamscan -i -r --detect-broken=yes /var/www
podle vysledku odstran ten bordel ktery to najde

myslíš, že antivírus dokáže nájsť zmenený súbor v Joomle? Každopádne, idem hneď vyskúšať..

14. 5. 2014 12:54:28

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022973

David

(15 hodnocení)

14. 5. 2014 12:58:28

Napsal mrazko.tomas;1087773
myslíš, že antivírus dokáže nájsť zmenený súbor v Joomle? Každopádne, idem hneď vyskúšať..

hleda to predevsim modifikovane kusy kodu diky kterym to pak utoci

nejcasteji to obsahuje retezec

base64

ale je potreba si ten kousek kodu poradne prohlidnout abys nahodou nesmazal neco co potrebuje joomla k chodu

find /var/www -type f | xargs grep base64 2>/dev/null

ale radsi zkus ten clamav

dalsi vec je teda upgrade te joomly nasledne, je to deravy jak emental

14. 5. 2014 12:58:28

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022972

Tomáš

(27 hodnocení)

14. 5. 2014 13:16:36

samozrejme, upgrade je po tomto incidente v pláne..

vyskúšal som aj clavscan (výsledok 0 infections) aj ten find príkaz (niekoľko stoviek nevinne vyzerajúcich výsledkov, Joomla používa base64 asi na mnoho vecí)

Napsal cold;1087774
hleda to predevsim modifikovane kusy kodu diky kterym to pak utoci
nejcasteji to obsahuje retezec
base64
ale je potreba si ten kousek kodu poradne prohlidnout abys nahodou nesmazal neco co potrebuje joomla k chodu
find /var/www -type f | xargs grep base64 2>/dev/null
ale radsi zkus ten clamav

dalsi vec je teda upgrade te joomly nasledne, je to deravy jak emental

je možné aj to, že by útočník nejako robil tie útoky manuálne? A teda by mal získaný prístup k serveru napr. cez SSH alebo FTP? Pre istotu som pomenil heslá, takže ak by to bolo takto, tak by tomu už malo byť zamedzené. No existujú aj ďalšie spôsoby, ako by mohol robiť takéto útoky zo servera?

14. 5. 2014 13:16:36

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022971

David

(15 hodnocení)

20. 5. 2014 17:47:47

s tou zmenou hesel k ftp a ssh je to dobry napad, ale co sem zatim videl tak se to dela hromadne "robotama", to by se rucne pres ftp/ssh asi nikomu z utocniku nechtelo - jedine ze by majitel domeny/serveru nekoho skutecne nasral :D

tech base64 je tam sice tuna ale nejcasteji jsou to base64 a pak treba pul stranky necitelneho kodu hned zatim, nebo base64 v souborech .css, jpg, gif a dalsich kde nemaji co delat.

joomla samotna se spravne nastavenyma pravama je relativne bezpec. ok ale pluginy do toho pisou prasata a diky tomu dochazi k tomuhle

to se resi porad a porad dokola

tak jeste muzes stahnout joomlu a zkontrolovat v kterych souborech ma a nema byt base64 atp.

Napsal mrazko.tomas;1087784
samozrejme, upgrade je po tomto incidente v pláne..

vyskúšal som aj clavscan (výsledok 0 infections) aj ten find príkaz (niekoľko stoviek nevinne vyzerajúcich výsledkov, Joomla používa base64 asi na mnoho vecí)

je možné aj to, že by útočník nejako robil tie útoky manuálne? A teda by mal získaný prístup k serveru napr. cez SSH alebo FTP? Pre istotu som pomenil heslá, takže ak by to bolo takto, tak by tomu už malo byť zamedzené. No existujú aj ďalšie spôsoby, ako by mohol robiť takéto útoky zo servera?

20. 5. 2014 17:47:47

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022970

Samgarr

(8 hodnocení)

21. 5. 2014 08:19:20

Na identifikaci infikovaneho souboru zkuste pouzit https://github.com/rfxn/linux-malware-detect.

21. 5. 2014 08:19:20

https://webtrh.cz/diskuse/infikovany-server-utoci-na-ine-servery#reply1022969

Loki

(6 hodnocení)

6. 10. 2014 12:31:35

A je to opravdu Joomla? Podle tohoto: